В российской системе информационной безопасности должна быть сформирована внутренняя база знаний об уже известных киберугрозах – она должна оперативно использоваться всеми участниками отрасли в процессах поиска и реагирования на угрозы. Такого мнения придерживаются эксперты Центра киберустойчивости Angara SOC (Angara Security). В эти дни в Международном союзе электросвязи обсуждается вопрос о том, чтобы сделать STIX 2.1 и TAXII 2.1 международным стандартом для обмена информацией о киберугрозах в сетях связи. Для России это – лишь часть сложного процесса по накоплению действенной аналитики, информации о злоумышленниках и их злонамеренных активностях и формированию пула корректных решений для отражения киберугроз, считают специалисты Angara Security.
«Формат обмена индикаторами компрометации безусловно является важным предметом для обсуждения, особенно учитывая тот факт, что общепринятых, утвержденных на уровне индустрии форматов, по-прежнему нет и с этой задачей сообществу еще только предстоит справиться. Многие игроки рынка действительно используют STIX, в том числе и мы в Angara SOC, но параллельно с этим существует значительное количество других форматов (собственной или предложенной из вне разработки)», — подчеркивает Тимур Зиннятуллин, директор Центра киберустойчивости Angara SOC.
При этом эта задача является лишь частью большого и сложного процесса по поиску и накоплению практических знаний (т.е. действенной аналитики) и информации о злоумышленниках и их злонамеренных активностях, позволяющих защитникам и их организациям снизить возможный ущерб благодаря более корректному принятию решений (далее – Threat Intelligence – TI). И если составная часть этого сложного процесса станет формализованной и стандартизированной, это безусловно сыграет на руку стороне защиты.
«Но при этом важно не забывать, что любой компании, в которой сформировалось подразделение, отвечающее за ИБ, необходимо задуматься в первую очередь не о получении и обработке TI, хотя это тоже очень важно, но о генерации собственного, внутреннего TI. Результаты реагирования на любой инцидент, начиная от пометок в блокнотах и различных отчётов, заканчивая индикаторами компрометации любого уровня Пирамиды боли, которые удалось выявить, в той или иной степени, должны превращаться в TI и передаваться соответствующим специалистам», — продолжает эксперт.
Таким образом необходимо обеспечить формирование внутренней базы знаний об уже известных угрозах, которая должна незамедлительно использоваться в процессах поиска и реагирования на угрозы. «Любые security operations и любой incident response должны порождать TI, а TI должен порождать новые security operations и incident response. Укладываясь тем самым в общие концепции PDCA/PDAR, превалирующие в информационной безопасности», — заключает Тимур Зиннятуллин. Эксперт подчеркивает, что в единый, формализованный формат обмена данными ускорит и упростит распространение знаний и аналитики не только внутри одной компании или сферы, но и внутри сектора экономики, страны, объединения стран.
